信息安全管理第3章34有害程序

3.4有害程序第一页，编辑于星期六：十六点十五分。3.4有害程序3.4.1有害程序简介3.4.2计算机病毒3.4.3特洛伊木马3.4.4僵尸程序3.4.5蠕虫3.4.6恶意脚本3.4.7有害程序防范技术3.4.8有害程序相关法规与社会组织第二页，编辑于星期六：十六点十五分。3.4.1有害程序简介程序：程序是指在一定的软、硬件环境下可执行的代码，实现设计者期望的计算机行为、状态。第三页，编辑于星期六：十六点十五分。3.4.1有害程序简介有害程序是指侵入计算机系统，破坏系统、信息的机密性、完整性和可用性等的程序。第四页，编辑于星期六：十六点十五分。3.4.1有害程序简介有害程序的具体表现形式是多种多样的，常见危害表现形式有：

·格式化硬盘；

·下载运行木马程序；

·注册表的锁定；

·默认主页修改；

·篡改IE标题栏；

·篡改默认搜索引擎；

·IE右键修改；

·篡改地址栏文字；

·启动时弹出对话框；

·IE窗口定时弹出；

·禁止使用计算机。第五页，编辑于星期六：十六点十五分。3.4.1有害程序简介有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件7个第二层分类。第六页，编辑于星期六：十六点十五分。有害程序事件①计算机病毒事件是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制。第七页，编辑于星期六：十六点十五分。有害程序事件②蠕虫事件是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序。第八页，编辑于星期六：十六点十五分。有害程序事件③木马事件是指蓄意制造、传播木马程序，或是因受到木马程序影响而导致的信息安全事件。木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能。第九页，编辑于星期六：十六点十五分。有害程序事件病毒、蠕虫和木马病毒会导致计算机彻底损坏，或者破坏你的Windows组件，或者破坏文件，导致系统无法正常使用等等，突出破坏性。蠕虫是一种通过网络传播的恶性病毒，更侧重与说明他具有很强的自我复制性和传播性，并不一定带有严重活着明显的破坏性。木马就是指的“盗窃”性质。它就是专门盗窃信息的，对系统没有特别大的损害。但是，现在的这些病毒，蠕虫，木马都有技术融合性质。第十页，编辑于星期六：十六点十五分。有害程序事件比如说有名的熊猫烧香，就是一个典型的例子：1）病毒性质：它可以屏蔽杀毒字眼，破坏系统安全模式，破坏杀毒软件，更改图标，这就是病毒性质的行为。2）蠕虫性质：它可以在本机大量复制自身，并且通过局域网，U盘等肆意传播，这是典型的蠕虫行为。3）木马行为：通过前两个行为获得系统控制权后，疯狂下载木马，盗窃用户信息，这就是典型的木马行为。第十一页，编辑于星期六：十六点十五分。有害程序事件④僵尸网络事件是指利用僵尸工具软件，形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样驱赶和指挥者，成为被人利用的一种工具。第十二页，编辑于星期六：十六点十五分。有害程序事件⑤混合攻击程序事件是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其他系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等。第十三页，编辑于星期六：十六点十五分。有害程序事件⑥网页内嵌恶意代码事件是指蓄意制造、传播网页内嵌恶意代码，或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经允许由浏览器执行，影响信息系统正常运行的有害程序。第十四页，编辑于星期六：十六点十五分。有害程序事件⑦其他有害程序事件是指不能包含在以上6个第二层分类之中的有害程序事件。流氓软件：是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上强行安装运行，侵犯用户合法权益的软件，但已被我国法律法规规定的计算机病毒除外。第十五页，编辑于星期六：十六点十五分。3.4.1有害程序简介DOS时代Windows时代网络时代随着当前移动智能终端的发展，可以预见，有害程序转战智能设备将是未来的趋势。第十六页，编辑于星期六：十六点十五分。3.4.2计算机病毒近年来，由于计算机病毒的泛滥，全世界平均不到20分钟就会产生一个新的病毒。这些病毒通过Internet传向世界各个角落，这意味着连入Internet的计算机平均20分钟就有可能被感染一次。按每天开机联网2小时，一年内可能被全世界所有最新病毒感染2190次。继传统方式感染可执行文件病毒以后，新病毒以其较强的隐蔽性和相当强的传染性在Internet上广泛散播开来。第十七页，编辑于星期六：十六点十五分。3.4.2计算机病毒据统计，在我国企业、公司级的网络系统中，有90%的计算机都曾受到过病毒的感染。60%以上的计算机都曾因病毒而丢失过文件、数据等。计算机病毒的侵犯已成为计算机安全的最大问题，它带来的人力和经济损失是巨大的。目前，病毒在设计上越来越复杂，在数量上呈指数增长，并在功能和形态等方面都发生了很大的变化，病毒的概念己逐渐为人们所熟悉。第十八页，编辑于星期六：十六点十五分。计算机病毒历史演示第十九页，编辑于星期六：十六点十五分。DOS环境下的病毒演示火炬病毒救护车病毒RescueSuicide第二十页，编辑于星期六：十六点十五分。火炬病毒该病毒发作时，在屏幕显示五把燃烧的火炬。同时，该病毒用内存的随机数从硬盘的物理第一扇区开始覆盖，造成硬盘中的数据丢失。第二十一页，编辑于星期六：十六点十五分。救护车病毒该病毒发作时，从屏幕左下角有一辆救护车跑过。第二十二页，编辑于星期六：十六点十五分。Rescue病毒病毒发作时，显示一些图形和文字。第二十三页，编辑于星期六：十六点十五分。Suicide该病毒发作时，在屏幕上显示一幅图形，告诉你的机器已经被该病毒感染。第二十四页，编辑于星期六：十六点十五分。宏病毒演示DMV病毒Aliance病毒Laroux病毒Concept病毒所谓宏，就是一些命令组织在一起，作为一个单独命令完成一个特定任务。MicrosoftWord中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列word命令，它能使日常工作变得更容易”。宏就是把一系列常用的操作作为一个整体，保存起来，以后用的时候直接通过一定方式用就是了。第二十五页，编辑于星期六：十六点十五分。DMV病毒该病毒据说是第一个宏病毒，属于实验性的，无破坏性。第二十六页，编辑于星期六：十六点十五分。Aliance病毒该病毒发作时，显示一个对话框。第二十七页，编辑于星期六：十六点十五分。Laroux病毒该病毒感染WindowsExcel文档，图中显示的是病毒的宏名。第二十八页，编辑于星期六：十六点十五分。Concept病毒该病毒感染WindowsWord后，将在屏幕上弹出一个对话框。第二十九页，编辑于星期六：十六点十五分。Windows环境下的病毒演示CIH女鬼白雪公主病毒等等……第三十页，编辑于星期六：十六点十五分。CIH病毒CIH作者陈盈豪第三十一页，编辑于星期六：十六点十五分。骇人听闻的女鬼病毒恐怖的图片和音乐第三十二页，编辑于星期六：十六点十五分。WindowsNT时代的白雪公主病毒巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！第三十三页，编辑于星期六：十六点十五分。千年老妖病毒

使计算机反复的关机，每60秒一次第三十四页，编辑于星期六：十六点十五分。木马病毒和黑客程序的远程监控第三十五页，编辑于星期六：十六点十五分。席卷全球的NIMDA病毒第三十六页，编辑于星期六：十六点十五分。NIMDA病毒的4种传播方式第三十七页，编辑于星期六：十六点十五分。“震荡波”(Worm.Sasser)第三十八页，编辑于星期六：十六点十五分。U盘病毒病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。第三十九页，编辑于星期六：十六点十五分。3.4.2计算机病毒计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制。第四十页，编辑于星期六：十六点十五分。电脑蓝屏第四十一页，编辑于星期六：十六点十五分。文件损坏第四十二页，编辑于星期六：十六点十五分。熊猫烧香第四十三页，编辑于星期六：十六点十五分。非法弹窗第四十四页，编辑于星期六：十六点十五分。杀毒软件第四十五页，编辑于星期六：十六点十五分。系统错误第四十六页，编辑于星期六：十六点十五分。计算机病毒之最最具有杀伤力的计算机病毒--CIH病毒最浪漫的病毒--ILOVEU最漂亮的病毒--图片病毒最虔诚的病毒--熊猫烧香最烦人的病毒--即时在线聊天病毒最佳创意的病毒--AV终结者最流氓的病毒--灰鸽子最坚强的病毒--网页病毒最牛的病毒--未来的病毒第四十七页，编辑于星期六：十六点十五分。最具有杀伤力的计算机病毒--CIH病毒CIH病毒，它的出现直接颠覆了软件病毒不能破坏硬件的神话，CIH是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾，最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过Internet传播到全世界各个角落。第四十八页，编辑于星期六：十六点十五分。最浪漫的病毒--ILOVEYOUILOVEYOU病毒是用VBScript程序语言编写的，主要通过一封信件标题为“ILOVEYOU”(我爱你)的电子邮件散播，附件为“LOVE-LETTER-FOR-YOU.txt.vbs”(献给你的情书)，一旦执行，病毒会经由被感染者Outlook通讯簿的名单发出自动信件，藉以连锁性的大规模散播，造成企业mailserver瘫痪。病毒发作时，会感染并覆写附档名为：*.mp3,*.vbs,*.jpg,*.jpeg,*.hta,*.vbe,*.js,*.jse....等文件格式。文件遭到覆写后，附档名会改为*.vbs。第四十九页，编辑于星期六：十六点十五分。最漂亮的病毒--图片病毒不可否认互联网发展到今天，人们对出现在互联网上图的吸引力远远大于对文字的吸引，就有好事者把病毒和图片捆绑在一起，当你打开图片的同时病毒已经悄无声息的进入了你的系统。这种病毒对防范意识差或者没有保护措施的用户很容易感染。当精美的图片图片给你带来视觉享受的时候，不要忽视病毒很能随之而来。第五十页，编辑于星期六：十六点十五分。最虔诚的病毒--熊猫烧香对于这个在06年给人们带来黑色记忆的病毒，其借助U盘的传播方式也引领新的反病毒课题，但这一切都没有其LOGO的熊猫给人的印象深刻：熊猫拿着三根香虔诚的祈祷。第五十一页，编辑于星期六：十六点十五分。最烦人的病毒--即时在线聊天病毒即时通病毒困扰了许多人。当有一天你发现你的QQ重要的聊天内容被别人盗取了，或者程序自动给好友发送广告信息，你是否会很烦躁呢？第五十二页，编辑于星期六：十六点十五分。最佳创意的病毒--AV终结者一个病毒可以彻底干掉杀毒软件不算什么，但是可以屏蔽掉所有的有关杀毒字样，表现出了很独特的创意。第五十三页，编辑于星期六：十六点十五分。最流氓的病毒--灰鸽子业内关于木马是否是病毒的争论已经很久，但当你听了著名的木马开发者灰鸽子工作室的回答后，你再也不会怀疑木马不是病毒了，“木马不是病毒，只是远程控制程序”。想想你的电脑正在被别人控制，那你的什么信息还安全呢？最流氓的病毒也只有灰鸽子莫属。第五十四页，编辑于星期六：十六点十五分。最坚强的病毒--网页病毒什么是web安全？说白了就是www(万维网），网马和恶意软件的出现后，web就没有再安全过，泛滥的网马，令人气愤的恶意程序，这一切都使得顽强的网页病毒成功摘得“最坚强的病毒”的桂冠。第五十五页，编辑于星期六：十六点十五分。最牛的病毒--未来的病毒计算机技术在发展，你就不必怀疑病毒技术也在发展，所以今天你可能认识了所有的病毒，你可能用了最全面的反病毒措施，但你永远也预测不了明天将要发生什么。第五十六页，编辑于星期六：十六点十五分。计算机病毒产生原因究其产生的原因不外乎以下几种：(1)一些计算机爱好者出于好奇或兴趣，也有的是为了满足自己的表现欲，故意编制出一些特殊的计算机程序，让别人的电脑出现一些动画，或播放声音，或提出问题让使用者回答，以显示自己的才干。而此种程序流传出去就演变成计算机病毒，此类病毒破坏性一般不大。(2)产生于个别人的报复心理。如祖国台湾的学生陈盈豪，就是出于此种情况；他以前购买了一些杀病毒软件，可拿回家一用，并不如厂家所说的那么厉害，杀不了什么病毒，于是他就想亲自编写一个能避过各种杀病毒软件的病毒，这样，CIH就诞生了。第五十七页，编辑于星期六：十六点十五分。计算机病毒产生原因(3)来源于软件加密。一些商业软件公司为了不让自己的软件被非法复制和使用，运用加密技术，编写一些特殊程序附在正版软件上，如遇到非法使用，则此类程序自动激活，于是又会产生一些新病毒，如“巴基斯坦”病毒。(4)产生于游戏，编程人员在无聊时互相编制一些程序输入计算机，让程序去销毁对方的程序，如最早的“磁芯大战”，这样，另一些病毒也产生了。第五十八页，编辑于星期六：十六点十五分。计算机病毒产生原因(5)用于研究或实验而设计的“有用”程序，由于某种原因失去控制而扩散出来。(6)由于政治、经济和军事等特殊目的，一些组织或个人也会编制一些程序用于进攻对方电脑，给对方造成灾难或直接性的经济损失。如伊拉克战争中，美军对伊军队做的病毒，使其指挥系统瘫痪。第五十九页，编辑于星期六：十六点十五分。病毒传播途径计算机病毒的传播主要是通过拷贝文件、传送文件、运行程序等方式进行,而主要的传播途径有以下几种。(1)硬盘因为硬盘存储数据多，在其互相借用或维修时，将病毒传播到其他的硬盘或软盘上。(2)软盘软盘主要是携带方便，早期时候在网络还不普及时，为了计算机之间互相传递文件，经常使用软盘，这样，通过软盘，也会将一台机子的病毒传播到另一台机子。第六十页，编辑于星期六：十六点十五分。病毒传播途径(3)光盘光盘的存储容量大，所以大多数软件都刻录在光盘上，以便互相传递；由于各普通用户的经济收入不高，购买正版软件的人就少，一些商人就将软件刻录在光盘上，在制作过程中难免会将带毒文件刻录在上面，因其只读，所以上面即使有病毒也不能清除，(4)网络在计算机日益普及的今天，人们通过计算机网络，互相传递文件、信件，这样给病毒的传播速度又加快了；因为资源共享，人们经常在网上下载免费、共享软件，病毒也难免会夹在其中。(5)U盘第六十一页，编辑于星期六：十六点十五分。一个计算机病毒实例学习：计算机病毒产生的原因传播途径病毒的危害计算机病毒的特征第六十二页，编辑于星期六：十六点十五分。一个小故事一幢红砖砌的两层楼，一座偏僻的小村子，掩映在德国北部平原无边无际的森林和玉米田里。

时间：2004年4月29日地点：德国北部

罗滕堡镇沃芬森小村(Waffensen),人口仅920。1.时间,地点第六十三页，编辑于星期六：十六点十五分。2.人物

斯万-贾斯查因(SvenJaschan)，4月29日这一天是他18岁的生日。母亲叫维洛妮卡，开了一个门面不算大的以电脑维护修理为主的电脑服务部。 几天前，为了庆祝他的生日，他在网上下载了一些代码。修改之后今天将它放到了Internet上面。第六十四页，编辑于星期六：十六点十五分。3.传播从5月1日这些代码开始在互联网上以一种“神不知鬼不觉”的特殊方式传遍全球。“中招”后，电脑开始反复自动关机、重启，网络资源基本上被程序消耗，运行极其缓慢。第六十五页，编辑于星期六：十六点十五分。4.危害这就是全球著名的“震荡波”(Worm.Sasser)蠕虫病毒。自“震荡波”5月1日开始传播以来，全球已有约1800万台电脑报告感染了这一病毒。

5月3日，“震荡波”病毒出现第一个发作高峰，当天先后出现了B、C、D三个变种，全国已有数以十万计的电脑感染了这一病毒。微软悬赏25万美元找原凶!“五一”长假后的第一天，“震荡波”病毒的第二个高峰果然汹涌而来。仅8日上午9时到10时的短短一个小时内，瑞星公司就接到用户的求助电话2815个，且30％为企业局域网用户，其中不乏大型企业局域网、机场、政府部门、银行等重要单位。9日，“震荡波”病毒疫情依然没有得到缓解。

五月份的第一个星期（也就是“震荡波”迅速传播的时候），微软公司德国总部的热线电话就从每周400个猛增到3．5万个

第六十六页，编辑于星期六：十六点十五分。5.游戏结束开始时，报道有俄罗斯人编写了这种病毒!5月7日，斯万-贾斯查因的同学为了25万元，将其告发。并被警察逮捕。为了清除和对付“我的末日”（MyDoom）和“贝果”（Bagle）等电脑病毒。谁知，在编写病毒程序的过程中，他设计出一种名为“网络天空A”（Net-sky）病毒变体。在朋友的鼓动下，他对“网络天空A”进行了改动，最后形成了现在的“震荡波”病毒程序。

反病毒专家!第六十七页，编辑于星期六：十六点十五分。6.病毒产生原因---漏洞

病毒是通过微软的最新高危漏洞-LSASS漏洞(微软MS04-011公告)进行传播的，危害性极大，目前WINDOWS2000/XP/Server2003等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。如果用户的电脑中出现下列现象之一，则表明已经中毒。第六十八页，编辑于星期六：十六点十五分。6.病毒表现的特征(1)(1).出现系统错误对话框

被攻击的用户，电脑会出现LSAShell

服务异常框，接着出现一分钟后重启计算机的“系统关机”框”。第六十九页，编辑于星期六：十六点十五分。6.病毒表现的特征(2)(2).系统日志中出现相应记录

如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如图所示的日志记录，则证明已经中毒.第七十页，编辑于星期六：十六点十五分。6.病毒表现的特征(2)

(3).系统资源被大量占用

病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。第七十一页，编辑于星期六：十六点十五分。6.病毒表现的特征(2)(4).内存中出现名为avserve的进程

病毒如果攻击成功，会在内存中产生名为avserve.exe的进程，用户可以用Ctrl+Shift+Esc的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。第七十二页，编辑于星期六：十六点十五分。736.病毒表现的特征(2)(5).系统目录中出现名为avserve.exe的病毒文件

病毒如果攻击成功，会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒文件。

其它文件名：Explorer.exeExp1orer.exeExpl0rer.exe第七十三页，编辑于星期六：十六点十五分。7.病毒的运行过程(1)该病毒利用了WindowsLSASS的一个已知漏洞(MS04-011)，这是一个缓冲溢出漏洞，后果是使远程攻击者完全控制受感染系统。感染系统：WinNT/Win2000/WinXP/Win2003

病毒长度：15872字节1、生成病毒文件病毒运行后，在%Windows％目录下生成自身的拷贝，名称为avserve.exe，文件长度为15872字节，和在%System%目录下生成其它病毒文件。例如:c:\win.log

:IP地址列表c:\WINNT\avserve.exe

:蠕虫病毒文件本身c:\WINNT\system32\11113_up.exe:可能生成的蠕虫文件本身c:\WINNT\system32\16843_up.exe:可能生成的蠕虫文件本身

第七十四页，编辑于星期六：十六点十五分。758.病毒的运行过程(2)

2、修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Run下创建

"avserve"=”c:\WINNT\avserve.exe”。3、通过系统漏洞主动进行传播

病毒主动进行扫描，当发现网络中存在微软SSL安全漏洞时，进行攻击，然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。4、危害性受感染的系统可能死机或者造成重新启动，同时由于病毒扫描A类或B类子网地址，目标端口是TCP445会对网络性能有一定影响，尤其局域网可能造成瘫痪。并可以在TCP9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。第七十五页，编辑于星期六：十六点十五分。9.清除该病毒的相关建议(1)

有了上面的分析之后，我们就可以手动来清除该病毒了。方法如下：1、安全模式启动

重新启动系统同时按下按F8键，进入系统安全模式

2、注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双

击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>

CurrentVersion>Run，并删除面板右侧的"avserve"="c:\winnt\avserve.exe“3、删除病毒释放的文件

点击"开始--〉查找--〉文件和文件夹"，查找文件"avserve.exe"和"*_up.exe"，并将找到的文件删除。

第七十六页，编辑于星期六：十六点十五分。8.清除该病毒的相关建议(2)

4、安装系统补丁程序到以下微软网站下载安装补丁程序：/technet/security/bulletin/MS04-011.mspx或者在ＩＥ浏览器的工具－>WindowsUpdate升级系统。5、重新配置防火墙

重新配置边界防火墙或个人防火墙关闭TCP端口5554和9996;第七十七页，编辑于星期六：十六点十五分。8.清除该病毒的相关建议(3)

4、可用一些补丁和杀毒软件，如360杀毒：第七十八页，编辑于星期六：十六点十五分。8.清除该病毒的相关建议(4)

Microsoft早在4月初就已经给出了MS04-011,012,013等严重漏洞，并且提醒用户打补丁。第七十九页，编辑于星期六：十六点十五分。小结(1).我们接触信息安全都是从计算机病毒开始的。(2).想必大家都类似病毒的侵扰；(如冲击波，震荡波等)。(3).其实网络上到处都有安全隐患!第八十页，编辑于星期六：十六点十五分。计算机病毒的特性(1)可执行性：与其他合法程序一样，病毒是一段可执行程序，但不是一个完整的程序，而是寄生在其他可执行程序上，病毒运行时，与合法程序争夺系统的控制权，往往会造成系统崩溃，导致计算机瘫痪。(2)传染性：正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的，而病毒却能够使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可以通过各种可能的渠道，如软盘、光盘和计算机网络去传染给其他的计算机，是否具有传染性是判别一段程序是否为计算机病毒的最重要条件。第八十一页，编辑于星期六：十六点十五分。计算机病毒的特性(3)隐蔽性：病毒一般是具有很高编程技巧、短小精悍的一段程序，通常潜入在正常程序或磁盘中。病毒程序与正常程序不容易被区别开来，在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间内感染大量程序。而且受到感染后，计算机系统通常仍能正常运行，用户不会感到有任何异常。正是由于其隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到其他计算机中。

第八十二页，编辑于星期六：十六点十五分。计算机病毒的特性(4)潜伏性：大部分病毒在感染系统之后不会马上发作，它可以长时间隐藏在系统中，只有在满足其特定条件时才启动其表现(破坏)模块。如“PETER一2”病毒在每年2月27日会提3个问题，答错后将会把硬盘加密；“黑色星期五”病毒在逢13号的星期五发作，还有4月26日发作的CIH病毒等。这些病毒在平时会隐藏得很好，只有在发作日才会被激活，产生破坏性。

(5)破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。良性病毒可能只做一些恶作剧，或者根本没有任何破坏动作，只是会占用系统资源。恶性病毒则有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的甚至对数据造成不可挽回的破坏。第八十三页，编辑于星期六：十六点十五分。计算机病毒的特性计算机病毒之所以具有寄生能力和破坏能力，与病毒程序的结构有密切关系。目前已出现的病毒都具有共同的逻辑程序结构，一般包含3大模块，即引导模块、感染模块和表现(破坏)模块。其中，后两个模块都包括一段触发条件检查程序段，它们分别检查是否能满足触发条件和是否满足表现(破坏)条件。一旦相同的条件得到满足，病毒就会进行感染和表现(破坏)。第八十四页，编辑于星期六：十六点十五分。计算机病毒分类按计算机病毒攻击的机型分类可分为：攻击微型机的病毒；攻击小型机的病毒；攻击工作站的病毒；攻击中、大型计算机的病毒。病毒的传播媒介分类可分为：单机病毒，通常以磁盘、U盘、光盘等存储设备为载体；网络病毒，通过网络协议或电子邮件进行传播。按病毒攻击的操作系统分类可分为：DOS病毒；Windows病毒；UNIX或OS／2系统病毒；Macintosh系统病毒；其他操作系统病毒，如嵌入式操作系统病毒。第八十五页，编辑于星期六：十六点十五分。计算机病毒分类按病毒的链接方式分类可分为：源码型病毒，此类病毒攻击用高级语言编写的程序，在编译之前将病毒代码插入到源程序中；入侵型病毒，此类病毒将自身嵌入到已有程序中，把计算机病毒的主体程序与其攻击对象以插入方式链接，并代替其中部分不常用的功能模块或堆栈区；外壳性病毒，此类病毒通常附着在宿主程序的首部或尾部，相当于给宿主程序加了一个“外壳”；译码型病毒，此类隐藏在如Office、HTML等文档中，如常见的宏病毒、脚本病毒；操作系统型病毒，此类加入或取代部分操作系统功能进行工作，具有很强的破坏性。第八十六页，编辑于星期六：十六点十五分。计算机病毒分类按病毒的表现(破坏)情况分类可分为：良性病毒，不包含对计算机系统产生直接破坏作用的代码，主要是表现其存在，只是不停地传播并占用资源，包括无危害型病毒和无危险型病毒；恶性病毒，代码中包含损伤和破坏计算机系统的操作，感染或发作时对系统产生直接破坏作用，包括危险型病毒和非常危险型病毒。按计算机病毒寄生方式分类可分为：引导型病毒，病毒程序占据操作系统引导区，如“小球”病毒；文件型病毒，主要感染一些可执行文件，是主流的病毒，如目录病毒、宏病毒；混合型病毒，集引导型和文件型病毒特性于一体。第八十七页，编辑于星期六：十六点十五分。计算机病毒的传播机制计算机病毒的传播途径有很多，包括：通过不可移动的计算机硬件设备进行传播，如硬盘；通过移动存储设备传播，如磁带、软盘、移动硬盘、U盘、光盘等；通过有线网络系统传播，主要包括电子邮件、Web、BBS、FTP、即时通信等；通过无线通信系统传播，如WAP服务器、网关、蓝牙等。WAP：WirelessApplicationProtocol，无线应用协议，是一项全球性的网络通信协议。它使移动Internet有了一个通行的标准，其目标是将Internet的丰富信息及先进的业务引入到移动电话等无线终端之中。第八十八页，编辑于星期六：十六点十五分。计算机病毒的传播机制计算机病毒的传播机制，也称为计算机病毒的感染机制，其目的是实现病毒自身的修复和隐藏。病毒的感染对象主要有两种：一种是寄生在磁盘引导扇区；另一种是寄生在可执行文件中。另外，宏病毒、脚本病毒是比较特殊的病毒，在用户使用Office或浏览器的时候获取执行权；还有一些蠕虫只寄生在内存中，而不感染引导扇区和文件。第八十九页，编辑于星期六：十六点十五分。计算机病毒的传播机制不同种类的病毒，其传染机理也不同。引导型病毒的传染机理是利用在开机引导时窃取中断控制权，并在计算机运行过程中监视软盘读写时机，趁机完成对软盘的引导区感染，被感染的软盘又会传染给其他计算机。文件型病毒的传染机理是执行被感染的可执行文件后，病毒进驻内存，监视系统运行，并查找有可能被感染的文件进行感染。混合型感染则既感染引导扇区，又感染文件。交叉感染是指一个宿主程序上感染多种病毒，这类感染的杀毒处理比较麻烦。第九十页，编辑于星期六：十六点十五分。计算机病毒工作原理第一阶段：感染感染是指病毒自我复制并传播给其他程序。病毒主要通过电子邮件、外部介质、下载这3种途径入侵个人电脑。第九十一页，编辑于星期六：十六点十五分。计算机病毒工作原理第二阶段：潜伏潜伏是指病毒等非法程序为了逃避用户和防病毒软件的监视而隐藏自身行踪的行为。在潜伏过程中，病毒为躲避用户和防病毒软件的侦察而进行隐藏。通过与防病毒软件之间不断地“斗智斗勇”，有的病毒已经逐渐具备了非常高级的隐身法。最具代表性的潜伏方法是隐蔽和自我变异。第九十二页，编辑于星期六：十六点十五分。计算机病毒工作原理第三阶段：繁殖繁殖是非法程序不断地由一部计算机向其他计算机进行传播的状态。就像在感染阶段一样，病毒主要通过电子邮件入侵个人电脑。将电子邮件用做传播媒介的就是蠕虫。第四阶段：发作发作是非法程序所实施的各种恶意行为。如果把破坏程度分为3个等级，那么破坏程度最大的大概就算是“格式化硬盘”和“删除文件”等直接破坏行为了。尤其是“破坏电脑BIOS”的发作症状，由于电脑将不能启动，用户自行进行修复根本无从谈起，经济上的损失非常大。第九十三页，编辑于星期六：十六点十五分。3.4.3特洛伊木马特洛伊木马是指通过欺骗手段植入到网络与信息系统中，并具有控制该目标系统或进行信息窃取等功能的有害程序。第九十四页，编辑于星期六：十六点十五分。

从前，希腊联军围困特洛伊，久攻不下。便特制了一匹巨大的木马，打算来个“木马屠城计”。希腊人在木马中安排了一批视死如归的勇士，待两军激战正酣时，借故战败撤退，诱敌上钩。果然，被敌军撤退喜讯弄得神志不清的特洛伊人哪知中计，当晚使把木马拉进城中，打算来个欢天喜地的庆功宴。谁知，就在大家兴高采烈喝酒欢庆之际，木马中的精锐悍将早己暗中打开城门，来个里应外合的大抢攻开始了！顿时，一个美丽的城市变成了一堆瓦砾、焦土，毁灭于历史中……。传说中的特洛伊木马木马屠城的故事……3.4.3特洛伊木马总结：里应外合第九十五页，编辑于星期六：十六点十五分。3.4.3特洛伊木马我们所要谈的当然不仅仅是这个希腊故事，但我们要谈的木马(也称“特洛伊木马”)，原理跟这个故事差不多。

所谓的木马程序其实就是一种远程控制程序，只是后来其功能被修改得越来越强大而已。严格来说它不能算是一种病毒，基本上只要不运行到它就不会有事。一般的用法都是，它会有一个客户端程序(己方计算机)、一个服务器端程序(对方计算机)给对方运行，只要同时在线就能通过客户端的程序来控制对方的计算机。第九十六页，编辑于星期六：十六点十五分。木马的功能远程监控可以控制对方的鼠标、键盘和监视对方屏幕。记录密码窃取主机的信息资料更改主机名称，设置系统路径和得知系统版本等。设置系统功能可以远程关机或重新升机，设置鼠标或是把鼠标隐藏起来，终止系统程序，或是耗用大量主机资源致使系统死机。远程文件操作入侵者可以远程控制对方的文件。发送信息第九十七页，编辑于星期六：十六点十五分。木马的特点特点一般病毒蠕虫木马传染性强强弱感染对象文件进程进程主要传播方式文件、网络网络网络破坏性强强弱隐蔽性强强强顽固性较强较强极强欺骗性一般一般强主要攻击目的破坏数据、信息破坏数据、信息窃取数据、信息第九十八页，编辑于星期六：十六点十五分。木马的特性(1)程序性：程序性是指木马是一段执行特殊功能的非授权性程序，进行一些用户所不希望的操作，如窃取密码、盗取文件和提供后门等。(2)隐藏性：隐藏性是指木马服务端能够躲避杀毒软件的扫描，不会被轻易地发现。第九十九页，编辑于星期六：十六点十五分。木马的特性(3)有效性：有效性是指入侵的木马与其控制端(入侵者)建立有效的通信联系，能接收到控制端的命令信息，并能将搜集的信息返回给入侵者。第一百页，编辑于星期六：十六点十五分。木马的特性(4)顽固性：顽固性是指有效清除木马的难易程度，体现了木马对反木马操作的免疫性。当木马被用户通过杀毒软件或其他途径检测出来(失去隐蔽性)后，为了继续确保其侵入的有效性，往往还具有另外一个重要特性——顽固性。如果一个木马不能一次性有效清除，那么该木马就具有较强的顽固性。一些常用的反清除技术有多实例法，将木马程序(多份)分别存放在目标计算机不同的目录下，这些木马实例互相监督，以防止某个木马实例被查杀，确保木马工作还能继续进行。多实例可以通过采用同时运行多个线程或进程来实现。第一百零一页，编辑于星期六：十六点十五分。木马的特性(5)易植入性：任何木马要想发挥作用必须首先进入目标计算机(植入操作)，可见易植入性是木马有效性的先决条件。第一百零二页，编辑于星期六：十六点十五分。木马的分类按照功能分类可分为：(1)密码发送型(2)键盘记录型(3)屏幕截取型(4)文件控制型(5)后门型第一百零三页，编辑于星期六：十六点十五分。按照功能分类密码发送型木马

密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类木马程序不会在每次Windows重启时都自动加载它们大多数使用25号端口发送电子邮件。第一百零四页，编辑于星期六：十六点十五分。按照功能分类键盘记录型木马

键盘记录型木马是非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动，知道受害者在线并且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。第一百零五页，编辑于星期六：十六点十五分。按照功能分类屏幕截取型木马

屏幕截取型木马可以抓取用户当前计算机屏幕上的图像。入侵者通过接收到的图像可以看到用户具体在干什么，就好像站在受害者计算机的旁边看受害者的操作计算机一样，只不过是依据抓屏的频率间歇性地偷看一下。第一百零六页，编辑于星期六：十六点十五分。按照功能分类文件控制型木马

文件控制型木马用于对受害者主机的各种文件进行各种非法操作，范围涉及普通文件、注册表文件和系统文件等。第一百零七页，编辑于星期六：十六点十五分。按照功能分类后门型木马

后门型木马通过打开目标计算机的一个端口连入因特网，将目标计算机暴露给入侵者。在木马服务端的配合下，入侵者可获取目标计算机的部分或全部操作权限，通过控制端对目标计算机进行远程控制。第一百零八页，编辑于星期六：十六点十五分。木马的攻击原理PRIORITY是一个VB编写的“木马”，该“木马”包括服务器端的SERVER.EXE及客户端的PRIORITY.EXE两个程序。服务器端SERVER.EXE建立了一个SERVER窗体，设定为隐藏窗体，并在任务栏及任务管理器中隐藏，窗体中定义了一个名为TCP2的WINSOCK控件，使用该控件打开1001端口并监听：

PrivateSubFormLoad()TCP2.LocalPort=1001TCP2.1istenEndSub服务器端监听端口1001Priority木马结构分析第一百零九页，编辑于星期六：十六点十五分。木马的攻击原理当黑客用客户端PRIORITY.EXE发出远程连接请求时，隐藏在被害用户电脑中的SERVER.EXE接受连接请求：PrivateSubTCP2_ConnectionRequest(ByValrequesteldAsLong)TCP2.AcceptrequestedEndSubPriority木马结构分析第一百一十页，编辑于星期六：十六点十五分。木马的攻击原理SERVER.EXE执行客户端发出的命令：PrivateSubTCP2_DataArrival(ByValbytesTotalAsLong)DimstrDataAsStringTCP2.GetDatastrDataIfstrData=“ExecuteReboot"Then重新启动

ExitWindowsEWX_LogOff,&HFFFFFFFFElselfstrOata="ExecuteDisableCtrlAltDel"ThenCallDisableCtrlAltDelete(True)使Ctrl-Alt-Del无效

Elself其它功能

…EndIfEndSubPriority木马结构分析第一百一十一页，编辑于星期六：十六点十五分。木马的攻击原理客户端PRORITY.EXE建立了一个frmMain窗体，在窗体中定义了一个名为TCPl的WINSOCK控件、一个cmdConnect按钮、一个IP文本框及完成各种命令的菜单。当黑客欲“窥视”被害者电脑时，与服务器建立连接：PrivateSubcmdConnectes_Click()Server=IP.TextTCP1.RemoteHost=ServerTCP1.RemotePort=1001TCP1.ConnectEndSub若黑客想远程控制被害者电脑重启动机器，则发送命令：PrivateSubmnureboot_ClickQTCP1.SendData"ExecuteReboot"EndSubPriority木马结构分析第一百一十二页，编辑于星期六：十六点十五分。木马的清除检查进程，关掉木马进程检查注册表，关掉多余的注册表项木马专杀工具杀毒软件防火墙第一百一十三页，编辑于星期六：十六点十五分。360安全卫士与360杀毒的区别360卫士：有查杀木马功能、修补系统漏洞、管理电脑中的软件（比如升级、更新、卸载）；360杀毒：查杀病毒、查杀木马、实时防护各种病毒的入侵。简单的说，360卫士是管理电脑软件的，同时具有查杀木马的功能。360杀毒是防护电脑中毒，同时杀各类病毒。第一百一十四页，编辑于星期六：十六点十五分。案例1：徐玉玉案第一百一十五页，编辑于星期六：十六点十五分。案例1：徐玉玉案据央视新闻报道，警方在成功抓获陈文辉、郑贤聪等诈骗团伙成员后，随即对徐玉玉个人信息泄露的源头展开了调查。随后，警方赶到成都，将在网上向陈文辉出售考生信息的四川宜宾小伙杜天禹抓获。警方发现，他们抓到的这个卖信息的人年仅18岁，是名网络黑客。杜天禹给自己起了个网名叫“SEAY”（法师），意思是掌握了魔法的人。进一步的审讯发现，杜天禹从小学五年级起经常去网吧打游戏，就读初中二年级时退学。他在打网络游戏的过程中，对黑客技术产生了兴趣，开始尝试使用黑客技术在网上获取他人的数据信息。今年4月，杜天禹凭经验觉得“山东省2016高考网上报名信息系统”网站存在漏洞，仅用一个木马程序就侵入该网站，从上面下载了64万多条山东省高考考生信息，并开始在网上非法出售。第一百一十六页，编辑于星期六：十六点十五分。案例1：徐玉玉案公众号：剥洋葱people第一百一十七页，编辑于星期六：十六点十五分。案例2：手机软件藏有木马病毒第一百一十八页，编辑于星期六：十六点十五分。案例3：在棋牌游戏中植入木马病毒第一百一十九页，编辑于星期六：十六点十五分。案例4：用木马病毒盗走6000多元日前，事主苏某在家中登录某购物网站购买网络游戏外挂，在成功购买“1元试用”的外挂后，却发现无法操作使用，于是通过QQ联系卖家。卖家随后向事主发送一网址，声称其为“1元试用”链接，让事主点击下载，并在试用前关闭杀毒软件。事主听信卖家的操作步骤，但外挂仍无法使用，却发现自己支付宝上的6368.04元被转走，于是发现被骗。中山警方接案后及时介入调查，经过连续多日潜心经营，全面掌握该犯罪团伙的架构、成员以及相关犯罪事实等。很快，中山警方组织统一收网行动，先后在浙江、广西等地抓获犯罪嫌疑人蒋某等3人。经审查，犯罪嫌疑人蒋某以非法获利为目的，通过租来的购物网店，诱骗事主点击有病毒木马程序的链接，随后木马程序自动窃取事主支付宝账户信息，并将支付宝账户资金转走。后经涉案支付宝账户资金明细分析，发现受骗事主达百余人，涉及广东、浙江、上海、江苏、福建等13个省市，涉案金额巨大。第一百二十页，编辑于星期六：十六点十五分。案例5：黑客入侵非法获取数据今年8月3日，事主陈某向中山警方报案称，他发现其所管理维护的某人才市场网络遭黑客入侵。民警在服务器提取到日志文件和入侵用的木马程序，经过进一步的侦查，警方确定了黑客入侵者的藏匿区域。8月11日，中山警方在深圳市宝安区某科技大厦内抓获涉嫌非法控制计算机信息系统的犯罪嫌疑人龙某，缴获作案手提电脑一台及手机两台。经审讯，犯罪嫌疑人龙某对其曾通过利用植入木马程序的方式，控制了该网站的犯罪事实供认不讳。第一百二十一页，编辑于星期六：十六点十五分。案例6：扫二维码抢红包小心支付宝账户被盗1月5日，市民薛女士在网上看中了一条裙子，通过聊天软件跟店主问了几句。很快，对方传来了一张带有二维码的图片，称扫码可以参与抢红包。薛女士扫了一次，但没找到抢红包的地方，也没发现桌面出现新软件，觉得有些纳闷。当天稍晚时候，她把手机连到电脑上充电，无意中发现手机里扫出一个“apk”木马程序，顺手点了删除。事后她才知道，那个程序是专门用来盗取支付宝账户的。对策：消费者应选择正规企业、商家发布的二维码来扫描。对于一些来路不明的二维码，不要盲目扫描。消费者最好在手机上安装相应的安全软件，如腾讯手机管家、360手机卫士等，以防止二维码病毒侵入手机。

尽量使用有安全验证功能的软件扫描二维码。

如果通过二维码来安装软件，安装好以后，最好先用手机杀毒软件扫描一遍再打开。第一百二十二页，编辑于星期六：十六点十五分。案例7：微信抢红包暗藏木马病毒第一百二十三页，编辑于星期六：十六点十五分。警惕短信链接中奖信息下载来路不明软件二维码抢红包第一百二十四页，编辑于星期六：十六点十五分。3.4.4僵尸程序僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。第一百二十五页，编辑于星期六：十六点十五分。僵尸网络发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。对网友而言，感染上“僵尸病毒”却十分容易。网络上搔首弄姿的美女、各种各样有趣的小游戏，都在吸引着网友轻轻一点鼠标。但事实上，点击之后毫无动静，原来一切只是骗局，意在诱惑网友下载有问题的软件。一旦这种有毒的软件进入到网友电脑，远端主机就可以发号施令，对电脑进行操控。第一百二十六页，编辑于星期六：十六点十五分。僵尸网络Botnet的工作过程包括传播加入控制一个Botnet首先需要的是具有一定规模的被控计算机，而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的，在这个传播过程中有如下几种手段：第一百二十七页，编辑于星期六：十六点十五分。僵尸网络的传播手段（1）主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权，并在Shellcode执行bot程序注入代码，将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击，获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合，从而使bot程序能够进行自动传播，著名的bot样本AgoBot，就是实现了将bot程序的自动传播。（2）邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身，通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接，并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接，或是通过利用邮件客户端的漏洞自动执行，从而使得接收者主机被感染成为僵尸主机。第一百二十八页，编辑于星期六：十六点十五分。僵尸网络的传播手段（3）即时通信软件。利用即时通信软件向好友列表发送执行僵尸程序的链接，并通过社会工程学技巧诱骗其点击，从而进行感染，如2005年年初爆发的MSN性感鸡（Worm.MSNLoveme）采用的就是这种方式。（4）恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本，当访问者访问这些网站时就会执行恶意脚本，使得bot程序下载到主机上，并被自动执行。（5）特洛伊木马。伪装成有用的软件，在网站、FTP服务器、P2P网络中提供，诱骗用户下载并执行。通过以上几种传播手段可以看出，在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。第一百二十九页，编辑于星期六：十六点十五分。僵尸网络的危害形式（1）拒绝服务攻击使用Botnet发动DDoS攻击是当前最主要的威胁之一，攻击者可以向自己控制的所有bots发送指令，让它们在特定的时间同时开始连续访问特定的网络目标，从而达到DDoS的目的。由于Botnet可以形成庞大规模，而且利用其进行DDoS攻击可以做到更好地同步，所以在发布控制指令时，能够使得DDoS的危害更大，防范更难。第一百三十页，编辑于星期六：十六点十五分。僵尸网络的危害形式（2）发送垃圾邮件一些bots会设立sockv4、v5代理，这样就可以利用Botnet发送大量的垃圾邮件，而且发送者可以很好地隐藏自身的IP信息。（3）窃取秘密

Botnet的控制者可以从僵尸主机中窃取用户的各种敏感信息和其他秘密，例如个人帐号、机密数据等。同时bot程序能够使用sniffer观测感兴趣的网络数据，从而获得网络流量中的秘密。第一百三十一页，编辑于星期六：十六点十五分。僵尸网络的危害形式（4）滥用资源攻击者利用Botnet从事各种需要耗费网络资源的活动，从而使用户的网络性能受到影响，甚至带来经济损失。例如：种植广告软件，点击指定的网站；利用僵尸主机的资源存储大型数据和违法数据等，利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。第一百三十二页，编辑于星期六：十六点十五分。僵尸网络的危害形式（5）网络钓鱼攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。第一百三十三页，编辑于星期六：十六点十五分。3.4.5蠕虫蠕虫是一种通过网络自我复制的恶意程序。其一旦被激活，可以表现得像细菌和病毒一样，向系统注入木马，或进行任何次数的破坏或毁灭行动。它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合等等！在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪！第一百三十四页，编辑于星期六：十六点十五分。3.4.5蠕虫蠕虫具有的行为特征如下：(1)主动攻击：在本质上，网络蠕虫是黑客人侵的自动化工具，当网络蠕虫被释放后，先是搜索漏洞，利用搜索结果攻击系统，再复制副本，整个过程都是由网络蠕虫自身主动完成。这是网络蠕虫与计算机病毒最大的区别。(2)行踪隐藏：在网络蠕虫传播过程中，不像计算机病毒需要计算机使用者的辅助工作(例如执行文件、打开文件、浏览网页、阅读邮件等)，网络蠕虫的传播过程计算机使用者基本上察觉不到。值得注意的是，行踪隐藏和快速传播是一对矛盾，具有快速传播能力的蠕虫，会引起网络数据流量剧增，甚至网络瘫痪，也就是说，要达到快速传播同时也暴露了蠕虫行踪。第一百三十五页，编辑于星期六：十六点十五分。3.4.5蠕虫(3)利用漏洞：计算机系统存在漏洞是蠕虫传播的前提，利用这些漏洞，网络蠕虫获得被攻击的计算机系统的一定权限，继而完成后续的复制和传播过程。这些漏洞有的是操作系统本身的问题，有的是应用服务程序的问题，有的是网络管理人员的配置问题。正是产生漏洞原因的复杂性，导致防御网络蠕虫攻击的困难性。(4)降低系统性能：网络蠕虫入侵计算机系统后，会在此计算机上复制自身多个副本，每个副本又开始自动启动搜索程序探测网络中新的攻击目标。大量的进程会消耗系统的资源，致使系统性能下降，尤其对网络服务器的影响明显。第一百三十六页，编辑于星期六：十六点十五分。3.4.5蠕虫(5)造成网络拥塞：网络蠕虫传播的第一步是大面积搜索网络上的主机，找到网络上其他存在漏洞的目标主机。搜索探测动作包括：判断其他计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等，这样的动作不可避免地增加网络流量。感染网络蠕虫的主机，也开始在网络上探测存在漏洞的目标主机。之后，网络蠕虫副本在不同主机间传递或是向某一目标发出攻击时都不可避免地产生大量网络数据流量，导致整个网络瘫痪，造成巨大的经济损失。(6)产生安全隐患：大部分网络蠕虫有搜索、扩散、窃取系统敏感信息(如用户密码)功能，并在系统中留下后门，这些会给系统带来安全隐患。第一百三十七页，编辑于星期六：十六点十五分。蠕虫功能结构蠕虫的实现包括三个模块，分别是扫描模块、感染模块和执行功能模块。扫描：由蠕虫的扫描模块负责探测目标主机。扫描模块利用对方主机的漏洞、邮件或者即时通讯方式得到一个可传播的对象。感染：感染模块感染扫描得到的计算机。功能执行：感染后执行蠕虫设计者预定义的功能，例如破坏系统、开启后门、将此计算机作为代理进一步攻击等。第一百三十八页，编辑于星期六：十六点十五分。熊猫烧香“熊猫烧香”是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。第一百三十九页，编辑于星期六：十六点十五分。熊猫烧香“熊猫烧香”病毒是继CIH之后危害中国最严重的病毒，国内数家权威病毒监测机构将其列为十大病毒之首。据有关专家介绍，它是一种用DELPHI工具编写的蠕虫病毒，这一病毒能中止大量的反病毒软件和防火墙软件进程，并可以通过网页浏览、局域网共享及Ｕ盘等多种途径快速传播，受感染的计算机会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏乃至被删除等现象。第一百四十页，编辑于星期六：十六点十五分。熊猫烧香第一百四十一页，编辑于星期六：十六点十五分。3.4.6恶意脚本脚本是嵌入到数据文档中执行一个任务的一组指令。最典型的脚本是嵌入到网页中的脚本，它们可以实现网站的点击计数器、格式处理器、实时时钟、鼠标效果、搜索引擎等功能。脚本由脚本语言描述。常用的脚本语言有：VBScript、Jscript、JavaScript、PerScript等。脚本病毒是一些嵌入在应用程序、数据文档和操作系统中的恶意脚本。主要通过电子邮件和网页传播。第一百四十二页，编辑于星期六：十六点十五分。脚本之家第一百四十三页，编辑于星期六：十六点十五分。网页特效第一百四十四页，编辑于星期六：十六点十五分。3.4.7有害程序防范技术有害程序防范技术包括：

恶意代码特征扫描；

完整性检查；

系统检测；

启发式扫描；

行为阻断。第一百四十五页，编辑于星期六：十六点十五分。3.4.8有害程序相关法规与社会组织与有害程序相关的法律法规有：《中华人民共和国刑法》第二百八十六条，《中华人民共和国计算机信息系统安全保护条例》第十五条、第二十三条、第二十八条，《计算机信息系统安全专用产品检测和销售许可证管理办法》第十五条、第二十条，《计算机病毒防治管理办法》等。第一百四十六页，编辑于星期六：十六点十五分。第一百四十七页，编辑于星期六：十六点十五分。《中华人民共和国刑法